Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Il Filesystem
La Digital Forensics è di sicuro un argomento molto complesso, ed uno degli obbiettivi dell’analisi è sicuramente il Filesystem.
Diversi livelli di analisi possono essere compiute su di esso, vi riporto indicazioni sulla parte dei metadati, appunto Metadata Layer.
Un esempio di questo è lo spazio non allocato lo “slack space”. Il più importante di queste è, la MFT (Master File Table), corrispondente al file $mft, questo contiene un record per ogni file e directory contenuti all’interno del volume e per ognuno di essi una serie di attributi.
L’analisi di questa parte è possibile tramite l’acquisizione dell’immagine del disco, uno strumento utile a ciò è FTK Imager.
Ecco alcuni degli attributi ed una breve descrizione, importanti per l’analisi:
- $DATA, contenuto del file.
- $STANDARD_INFORMATION, contiene I valori MAC (Modified, Accessed, Changed) del file.
- $FILE_NAME, contiene il nome del file, riferimenti alla directory di appartenenza.
Ovviamente un esempio di analisi completa la troviamo nel corso di analisi forense.